Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Ares' = '%APPDATA%\Ares\ups.exe'
- '%APPDATA%\Ares\stub32i.exe' /pid=4516
- '%APPDATA%\Ares\stub32i.exe' /pid=4916
- '%APPDATA%\Ares\stub32i.exe' /pid=5416
- '%APPDATA%\Ares\stub32i.exe' /pid=4008
- '%APPDATA%\Ares\stub32i.exe' /pid=6224
- '%APPDATA%\Ares\stub32i.exe' /pid=2824
- '%APPDATA%\Ares\stub32i.exe' /pid=3928
- '%APPDATA%\Ares\stub32i.exe' /pid=5384
- '%APPDATA%\Ares\stub32i.exe' /pid=7720
- '%APPDATA%\Ares\stub32i.exe' /pid=7468
- '%APPDATA%\Ares\stub32i.exe' /pid=5768
- '%APPDATA%\Ares\stub32i.exe' /pid=7268
- '%APPDATA%\Ares\stub32i.exe' /pid=6704
- '%APPDATA%\Ares\stub32i.exe' /pid=6316
- '%APPDATA%\Ares\stub32i.exe' /pid=6800
- '%APPDATA%\Ares\stub32i.exe' /pid=6648
- '%APPDATA%\Ares\stub32i.exe' /pid=7888
- '%APPDATA%\Ares\stub32i.exe' /pid=8068
- '%APPDATA%\Ares\stub32i.exe' /pid=8148
- '%APPDATA%\Ares\stub32i.exe' /pid=7800
- '%APPDATA%\Ares\stub32i.exe' /pid=7760
- '%APPDATA%\Ares\stub32i.exe' /pid=7320
- '%APPDATA%\Ares\stub32i.exe' /pid=7584
- '%APPDATA%\Ares\stub32i.exe' /pid=8084
- '%APPDATA%\Ares\stub32i.exe' /pid=5748
- '%APPDATA%\Ares\stub32i.exe' /pid=6828
- '%APPDATA%\Ares\stub32i.exe' /pid=3348
- '%APPDATA%\Ares\stub32i.exe' /pid=4564
- '%APPDATA%\Ares\stub32i.exe' /pid=8100
- '%APPDATA%\Ares\stub32i.exe' /pid=8180
- '%APPDATA%\Ares\stub32i.exe' /pid=6164
- '%APPDATA%\Ares\stub32i.exe' /pid=6156
- '%APPDATA%\Ares\stub32i.exe' /pid=7340
- '%APPDATA%\Ares\stub32i.exe' /pid=6324
- '%APPDATA%\Ares\stub32i.exe' /pid=7084
- '%APPDATA%\Ares\stub32i.exe' /pid=5456
- '%APPDATA%\Ares\stub32i.exe' /pid=5036
- '%APPDATA%\Ares\stub32i.exe' /pid=320
- '%APPDATA%\Ares\stub32i.exe' /pid=7728
- '%APPDATA%\Ares\stub32i.exe' /pid=6380
- '%APPDATA%\Ares\stub32i.exe' /pid=7000
- '%APPDATA%\Ares\stub32i.exe' /pid=5204
- '%APPDATA%\Ares\stub32i.exe' /pid=2712
- '%APPDATA%\Ares\stub32i.exe' /pid=7960
- '%APPDATA%\Ares\stub32i.exe' /pid=3536
- '%APPDATA%\Ares\stub32i.exe' /pid=2516
- '%APPDATA%\Ares\stub32i.exe' /pid=720
- '%APPDATA%\Ares\stub32i.exe' /pid=6708
- '%APPDATA%\Ares\stub32i.exe' /pid=7088
- '%APPDATA%\Ares\stub32i.exe' /pid=2528
- '%APPDATA%\Ares\stub32i.exe' /pid=6348
- '%APPDATA%\Ares\stub32i.exe' /pid=8080
- '%APPDATA%\Ares\stub32i.exe' /pid=6244
- '%APPDATA%\Ares\stub32i.exe' /pid=3148
- '%APPDATA%\Ares\stub32i.exe' /pid=6020
- '%APPDATA%\Ares\stub32i.exe' /pid=7688
- '%APPDATA%\Ares\stub32i.exe' /pid=5224
- '%APPDATA%\Ares\stub32i.exe' /pid=7928
- '%APPDATA%\Ares\stub32i.exe' /pid=6744
- '%APPDATA%\Ares\stub32i.exe' /pid=5740
- '%APPDATA%\Ares\stub32i.exe' /pid=6120
- '%APPDATA%\Ares\stub32i.exe' /pid=7388
- '%APPDATA%\Ares\stub32i.exe' /pid=764
- '%APPDATA%\Ares\stub32i.exe' /pid=6884
- '%APPDATA%\Ares\stub32i.exe' /pid=6300
- '%APPDATA%\Ares\stub32i.exe' /pid=6260
- '%APPDATA%\Ares\stub32i.exe' /pid=6424
- '%APPDATA%\Ares\stub32i.exe' /pid=6564
- '%APPDATA%\Ares\stub32i.exe' /pid=6784
- '%APPDATA%\Ares\stub32i.exe' /pid=6464
- '%APPDATA%\Ares\stub32i.exe' /pid=7144
- '%APPDATA%\Ares\stub32i.exe' /pid=7520
- '%APPDATA%\Ares\stub32i.exe' /pid=7580
- '%APPDATA%\Ares\stub32i.exe' /pid=7764
- '%APPDATA%\Ares\stub32i.exe' /pid=7464
- '%APPDATA%\Ares\stub32i.exe' /pid=7104
- '%APPDATA%\Ares\stub32i.exe' /pid=7240
- '%APPDATA%\Ares\stub32i.exe' /pid=7284
- '%APPDATA%\Ares\stub32i.exe' /pid=5504
- '%APPDATA%\Ares\stub32i.exe' /pid=4384
- '%APPDATA%\Ares\stub32i.exe' /pid=292
- '%APPDATA%\Ares\stub32i.exe' /pid=5948
- '%APPDATA%\Ares\stub32i.exe' -a sha256 -o http://14##################woCPo9s8G5Q9uc:007007007@getwork.mining.eligius.st:8337 -T 70 -l yes -t 2
- '%APPDATA%\Ares\stub32i.exe' /pid=6184
- '%APPDATA%\Ares\stub32i.exe' /pid=4704
- '%APPDATA%\Ares\stub32i.exe' /pid=4284
- '%APPDATA%\Ares\stub32i.exe' /pid=6048
- '%APPDATA%\Ares\stub32i.exe' /pid=5668
- '%APPDATA%\Ares\stub32i.exe' /pid=6604
- '%APPDATA%\Ares\stub32i.exe' /pid=5104
- '%APPDATA%\Ares\stub32i.exe' /pid=5848
- '%APPDATA%\Ares\stub32i.exe' /pid=5304
- '%APPDATA%\Ares\stub32i.exe' /pid=860
- '%APPDATA%\Ares\stub32i.exe' /pid=7884
- '%APPDATA%\Ares\stub32i.exe' /pid=4236
- '%APPDATA%\Ares\stub32i.exe' /pid=5236
- '%APPDATA%\Ares\stub32i.exe' /pid=4784
- '%APPDATA%\Ares\stub32i.exe' /pid=3196
- '%APPDATA%\Ares\stub32i.exe' /pid=3128
- '%APPDATA%\Ares\stub32i.exe' /pid=3708
- '%APPDATA%\Ares\stub32i.exe' /pid=2868
- '%APPDATA%\Ares\stub32i.exe' /pid=5940
- '%APPDATA%\Ares\stub32i.exe' /pid=6296
- '%APPDATA%\Ares\stub32i.exe' /pid=7288
- '%APPDATA%\Ares\stub32i.exe' /pid=7260
- '%APPDATA%\Ares\stub32i.exe' /pid=6364
- '%APPDATA%\Ares\stub32i.exe' /pid=6944
- '%APPDATA%\Ares\stub32i.exe' /pid=748
- '%APPDATA%\Ares\stub32i.exe' /pid=7004
- '%APPDATA%\Ares\stub32i.exe' /pid=4404
- '%APPDATA%\Ares\stub32i.exe' /pid=4824
- '%APPDATA%\Ares\stub32i.exe' /pid=4644
- '%APPDATA%\Ares\stub32i.exe' /pid=4304
- '%APPDATA%\Ares\stub32i.exe' /pid=7964
- '%APPDATA%\Ares\stub32i.exe' /pid=8124
- '%APPDATA%\Ares\stub32i.exe' /pid=6068
- '%APPDATA%\Ares\stub32i.exe' /pid=2756
- '%APPDATA%\Ares\stub32i.exe' /pid=2644
- '%APPDATA%\Ares\stub32i.exe' /pid=6628
- '%APPDATA%\Ares\stub32i.exe' /pid=3628
- '%APPDATA%\Ares\stub32i.exe' /pid=5004
- '%APPDATA%\Ares\stub32i.exe' /pid=6160
- '%APPDATA%\Ares\stub32i.exe' /pid=4484
- '%APPDATA%\Ares\stub32i.exe' /pid=5404
- '%APPDATA%\Ares\stub32i.exe' (downloaded from the Internet)
- %APPDATA%\Ares\stub32i.exe
- from <Full path to virus> to %APPDATA%\Ares\ups.exe
- '19#.#3.167.160':80
- 'wp#d':80
- 19#.#3.167.160/sil1002/UFA.exe
- wp#d/wpad.dat
- DNS ASK wp#d
- ClassName: 'Indicator' WindowName: '(null)'